Apache James 是一款广泛使用的邮件服务器软件,然而,最新发现的一项漏洞使得该软件面临着严重的安全风险。具体来说,这个漏洞涉及到 IMAP 文字串的滥用,从而导致拒绝服务攻击。
受影响版本
该漏洞影响以下版本的 Apache James 服务器:
- Apache James 服务器 3.7.5 之前的所有版本
- Apache James 服务器 3.8.0 至 3.8.1 的所有版本
漏洞描述
这个漏洞与之前的 CVE-2024-34055 类似,Apache James 服务器在处理 IMAP 文字串时存在问题。无论用户是否经过身份验证,都可以利用这种漏洞引发无限内存分配和非常长的计算,从而导致系统拒绝服务。需要注意的是,版本 3.7.6 和 3.8.2 已经修复了这种非法使用 IMAP 文字串的行为。
给予信用
这个漏洞报告由 Xavier GUIMARD 提出,Benoit TELLIER 负责协调。有关更多信息,请访问 Apache James 官方网站或 CVE.org。